精選欄目: 裝機必備 專題大全 常用工具 系統集錦

三步走 學會超安全的Web瀏覽

欄目: 電腦技巧 已有人學習|編輯:admin; 來源:未知;

 

作為一個安全分析師和研究員,我發現自己常常喜歡探索互聯網的一些黑暗角落。在時刻關注網絡安全問題的過程中,我經常要瀏覽那些一般人不敢靠近的網站;所以更有可能被當做攻擊的目標。這迫使我要制定一個格外有效的方法更安全的上網沖浪。

了解存在的風險

針對Web瀏覽器的攻擊分為兩大類。

第一類攻擊的目標是您的瀏覽器。內容包括:

◆跨站點腳本(XSS),其中非法攻擊者插入惡意代碼到一個你信任的網頁上,并使您的瀏覽器自動運行它。

◆跨站點請求偽造(CSRF的),攻擊者在一個Web頁面中插入代碼,使他可以以你的名義發送命令到其他網站(比如您的網上銀行賬戶);

◆點擊劫持(click jacking),就是說惡意程序隱藏在一個網站上,您可能無意中按下按鈕。

針對瀏覽器的攻擊,利用欺騙性的網頁或鏈接將您重定向到意想不到的地點,通過劫持瀏覽會話,悄悄下載惡意軟件到計算機上,或執行交易(如您的Web郵件轉發給攻擊者)。

第二類攻擊的目標是你的整個系統。這種系統性的攻擊利用你的瀏覽器或插件(如QuickTime或Flash)上安全漏洞來攻破你的電腦。這些攻擊利用了可以進行病毒、蠕蟲和遠程攻擊的緩沖區溢出和其他漏洞

為了保護自己不受到這兩種攻擊,以及一旦受到攻擊能盡快隔離,我使用了多級策略。第一步就是用1Password(密碼策略)設定并保存你的密碼。

但我也使用了多層次瀏覽器系統,甚至操作系統,以使自己盡可能安全即使你沒有訪問過我的網站,這其中的一些預防措施也會對你有用的。

【第一步:使用多個瀏覽器】

我的第一道防線是使用不同的Web瀏覽器完成不同的活動。這樣,即使攻擊者侵入某個我正在使用的Web論壇,他或她也不能從那里攻擊我的網上銀行,因為我使用另一個瀏覽器上我的網銀。或者,我用專門的瀏覽器登陸我的Facebook,那些侵入Facebook的最新的XSS(跨站腳本)蠕蟲無就法從那里進入我的亞馬遜或Web電子郵件帳戶。

我的主要瀏覽器是Firefox 3.5而且安裝了NoScript和Adblock插件。

默認情況下,NoScript禁用Java,JavaScript,Flash及其他常常可用于攻擊的動態內容。它使我可以詳細地控制,這樣我就可以永久或暫時為特定網站或網頁啟用腳本。因為瀏覽器如果不運行腳本或插件,幾乎是不可能受到攻擊的。NoScript插件是極有效的,只要我不會意外授權某個包含惡意代碼的網站。

Adblock Plus插件利用網站黑名單來自動阻止網站上的內容,黑名單中包括含有惡意廣告和間諜軟件的網站。我把它留做NoScript插件的備用,以防我不小心授權了一個惡意腳本。壞家伙們越來越多地使用廣告條幅和追蹤器來散布他們的惡意代碼; Adblock Plus則給了我額外的保險。

除了這兩個插件,我也設置火狐不儲存我的密碼(工具->選項->安全設置),我使用1Password密碼管理器來管理我的所有密碼。

我使用Firefox進行一般的瀏覽,但不用它來登陸那些需要輸入敏感個人信息的網站(如銀行)以及我知道會有極大風險的網站。對于這些網站,我會采用一些更嚴厲的措施。下面給你一一列出我的做法。

因為Safari相比Firefox會更難被鎖定,我使用它登陸那些既不敏感也沒風險的網站,例如維基百科,Pandora(網絡電臺網站)和Apple。這些是我經常訪問的網站,上這些網站時,我用不著設置NoScript插件,因為此時用Safari要比Firefox更好一些。在“首選項”- “綜合設置”下,我禁用“下載完成后打開安全文件”選項。在“首選項”- “自動填充”,我禁用“用戶名和密碼”選項。(譯者注:可惜的是Safari在Windows下工作時中文渲染效果很差)

默認情況下,Firefox和Safari都會利用自己的黑名單來識別那些已知的欺詐網站。(在Firefox中,轉到“工具”- >“安全- >”隔離已報告的攻擊網站”;在Safari中,轉到首“選項”- >“安全- > “當訪問一個欺詐網站時發出警告”。)我把這些設置激活。

我使用NetNewsWire作為我的RSS閱讀器。在其“首選項”-> “瀏覽”->“網頁設置”中,我關閉所有插件,以防止惡意代碼通過一個RSS訂閱傳播,比如一段包含一個緩沖區溢出文件的視頻。(我們一般用Google Reader,安全性很好)

【第二步:使用專用瀏覽器】

雖然Firefox和Safari適合一般的瀏覽,但是當我需要更多的保護時,我會使用一個專用的瀏覽器或某網站特定的瀏覽器site-specific browser (SSB)。

我說的“專用瀏覽器,”是指一個是普通的Web瀏覽器,不過我只在登陸一個站點時使用它。就我而言,我使用OmniWeb瀏覽器來管理我的公司網站和博客。

我制訂了OmniWeb瀏覽器的規則,禁止它訪問我公司網域以外的任何網站。(在選項->廣告攔截,我點擊編輯封鎖網址列表。此時頂部窗口上列出被封鎖的網站,我加了一條“/*”規則來阻止所有網站。在底部窗口,列出了值得信賴的網站清單,我添加了"securosis.com“規則來允許我公司的網站。這些設置都支持復雜的正則表達式,所以你可以根據你的需要創建一些非常復雜的規則。

對于那些非常不值得信任的網站,我通常使用SSB(site-specific browser)登陸。例如,如果我現在擔心Facebook,我就用SSB登陸。

一個SSB本質上是一個精簡的Web瀏覽器,只需要點擊幾下就可以完成。我在Firefox上添加一個Prism插件來制作SSB。(“工具”- >“添加組件”- >“獲取附加組件”,搜索Prism,然后安裝它。)安裝好Prism插件后,瀏覽到某網站時只要選擇“工具”- >“轉換網站為應用程序”選項就行了。

不同于網站專門瀏覽器,我也可以使用SSB瀏覽別的網站。而且,因為SSB是一個完全獨立的進程,可以制定防火墻規則來限制其網絡訪問。如果有人攻擊SSB程序,除了SSB程序本身,他們不會干擾到我的其他瀏覽器正常工作或竊取我的瀏覽歷史。

【第三步:使用多操作系統

對于那些極端危險或敏感的站點,我使用VM虛擬機來保護我的數據,隔離潛在的危險。

例如,我在專用的VM虛擬機上裝上了最新的RC版Windows 7系統,輔以Internet Explorer 8來進行所有的網上銀行活動。除了處理網銀外,我既不在VM上發送電子郵件也不瀏覽其他網站,所以我的Windows 7配IE8的組合運行在虛擬機里是很安全的。這消除了所有可能的瀏覽器攻擊(除非銀行自己的網站淪陷了)。如果攻擊者還想獲得我的銀行信息那么就要想辦法完全接管我的Mac了。

為了獲得最大的瀏覽安全,我還在VM虛擬機上使用Incognito linux的live CD。live CD包含一個可直接引導的操作系統,它可以直接在光盤驅動器啟動操作系統,無需在硬盤上安裝任何東西。其實任何一個附帶Web瀏覽器的linux live CD都可以,不過我喜歡Incognito的版本,因為它包含了不少隱私增強特性。

由于光盤是只讀的,除虛擬內存外,虛擬機只讀取相關內存而不會觸及到本地系統中的任何文件。攻擊者可以完全控制到我的虛擬機,但他或她無法觸及到我系統中的任何東西。因為VM的狀態永遠不會保存到磁盤上,所以我要做的就是將它關閉并重新啟動它使之回到最初的界面。

當然,對于網絡安全問題,我選擇的職業需要略微比普通用戶考慮得偏執一些。盡管如此,只要你擔心安全問題,這些技術就可能會有極大的參考價值。我建議你至少要學會使用專用的密碼管理軟件,使用專門的Web瀏覽器或者SSB來登錄網銀;如果你偶爾還要去互聯網的黑暗邊緣地帶看看,別忘了還有虛擬機能為你保駕護航。

收藏 贊() 踩()
本文地址:http://www.lenmiz.tw/jiqiao/4737.html
本文標簽:三步 學會 超安 Web 瀏覽 一個 安全分 析師 研究員
評論
26选5开奖走势图